hero-two-bg

ISO/IEC 27004

ISO/IEC 27004 est une norme internationale qui fournit des lignes directrices destinées à aider les organisations à évaluer la performance et l'efficacité d'un Système de Management de la Sécurité de l'Information (SMSI) mis en œuvre sur la base de l'ISO/IEC 27001. Elle offre des conseils sur la mesure et l'évaluation de la sécurité de l'information au sein de l'organisation.

Demandez une démonstration des Cadres Personnalisés de Secureframeangle-right

Définition et objectif

La norme définit des métriques et une approche structurée pour mesurer la performance de la sécurité de l'information, spécifiant comment développer et utiliser des métriques et des mesures pour évaluer l'efficacité du SMSI et des contrôles ou groupes de contrôles, comme spécifié dans l'ISO/IEC 27001. L'objectif est de soutenir les organisations dans l'amélioration de leur sécurité de l'information et de leur performance grâce à une mesure et une évaluation efficaces.

Organisme de régulation

L'ISO/IEC 27004 est maintenue par l'Organisation Internationale de Normalisation (ISO) en collaboration avec la Commission Électrotechnique Internationale (IEC).

Dernière mise à jour

L'ISO/IEC 27004 a été publiée pour la première fois en 2009. La norme est revue tous les 5 ans et a été révisée en 2016. Elle est actuellement en cours de révision.

S'applique à

L'ISO/IEC 27004 s'applique à tous types et tailles d'organisations, y compris les entreprises publiques et privées, les entités gouvernementales et les organisations à but non lucratif, qui ont mis en place un SMSI conformément à l'ISO/IEC 27001 et souhaitent mesurer efficacement sa performance.

Contrôles et exigences

Les principaux composants décrits dans l'ISO/IEC 27004 comprennent :

  • Contexte des Mesures : Comprendre quoi mesurer et pourquoi.
  • Développement des Métriques : Définir des métriques pertinentes et utiles pour la performance de la sécurité de l'information.
  • Processus de Mesure : Mettre en œuvre des processus pour collecter, analyser et rapporter des données.
  • Évaluation et Amélioration : Utiliser les mesures pour évaluer l'efficacité du SMSI, identifier les domaines à améliorer et prendre des décisions éclairées.

Veuillez vous référer à la documentation officielle ISO/IEC 27004:2016 pour les détails sur les contrôles et les exigences.

Type d'audit, fréquence et durée

Les audits relatifs à l'ISO/CEI 27004 impliquent généralement l'évaluation des stratégies et pratiques de mesure pour garantir qu'elles sont alignées avec la norme et évaluent efficacement la performance du SGSI. La norme ne spécifie pas une fréquence requise pour la mesure de la performance, mais il est recommandé de réaliser ces évaluations régulièrement dans le cadre d'un processus d'amélioration continue.

La durée des évaluations de conformité à l'ISO/CEI 27004 peut varier considérablement en fonction de la portée du SGSI, de la taille de l'organisation et de la profondeur des processus de mesure et d'évaluation en place.

Obtenez la conformité avec les cadres personnalisés de Secureframe

Demander une démoangle-right
cta-bg